2019年7月4日

7pay不正チャージ・不正使用のセキュリティーの問題点が徐々に明らかに

135

7payでの不正チャージ・不正使用報告が続出

まとめ 【注意喚起】「7pay」でさっそくクレカ不正利用 相次ぐ高額チャージ→使用、ようやくセブンも認める 【7/4 14:00更新】全額補償の意向などが記載されたセブン&アイによる最新のリリースが掲出されています:[PDF]https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190704_01.pdf 216340 pv 2252 156 users 485
シェアバー @Sharebars

しつこいですが、7payアプリは削除しましょう!オニギリ無料に釣られてアプリ登録したら、40万円搾取された(^.^) 1個40万円の人生最高価格のおにぎり。あっ、そういえばおにぎりクーポン来ないなぁ クレジットカード登録したら本当にヤバイよ! 7pay被害者を増やさない為に拡散して下さい! pic.twitter.com/4s0y9pnSKg

2019-07-03 16:48:04
拡大
Yahoo!ニュース @YahooNewsTopics

【7pay不正アクセス 被害相次ぐ】 yahoo.jp/yGF-o1 セブン・ペイは、モバイル決済サービス「7pay」の一部アカウントが、不正アクセスの被害を受けたと明らかにした。不正利用を防ぐため、ID、パスワード、認証パスワードの管理に注意を呼び掛けている。

2019-07-03 16:09:16

カードでのチャージを停止へ

リンク ITmedia NEWS 7pay、クレジット・デビットカードでのチャージ停止 不正利用対策で 「7pay」で不正ログインの被害が相次いでいる。セブン&アイ・ホールディングスは対策として、クレジットカードとデビットカードによるチャージを一時停止した。再開時期は未定。 9 users 142

生年月日と登録したメールアドレスが分かれば、パスワードリセットメールを任意のメールアドレスに送付できる

のらねこ!@冬コミ2日目31日/東ト06a/ThinkPad本 @ragemax

パスワード再発行からアカウント盗めたって、どんなにパスワードが複雑で使いまわししてなくても関係ないってことじゃないですか。ムチャクチャすぎるな。

2019-07-03 22:09:50
のらねこ!@冬コミ2日目31日/東ト06a/ThinkPad本 @ragemax

と思ったけど、これもしかして誰でもID盗める仕様なんじゃないのか……って7IDのパスワード再発行ページみたら気づいてしまった。なんで登録メールアドレスと別に送付先メールアドレスの欄をうかつに用意してんだ。登録メールアドレスが使えない状況を想定したのか pic.twitter.com/g4grunhBRT

2019-07-03 22:09:51
拡大
shao / 澤田 翔 - デジタルネイティブ企業のコーポレートIT支援 @shao1555

#7pay のログインアカウントであるomni7のパスワードリセット機能、生年月日と元のメアドが分かれば攻撃者のメールアドレスからパスワードリセットかけられる仕様になってますね。 ただ現時点ではパスワードリセットメールが飛んでこないので何らかの対応がなされている可能性があります。 twitter.com/shao1555/statu… pic.twitter.com/wO2hrzrp9K

2019-07-03 21:31:57
拡大
植草信男🎄Lv46 @weboo

@shao1555 自分も試してみましたが、パスワードリセットメールは送られてきませんでした。応急処置として、送信を止めてるかもしれませんね。

2019-07-03 22:46:33
fakecomponents💉💉 @fakecomponents

@shao1555 自分が22時頃に試したときには任意のメールアドレスでさくっとパスワードリセットできました。使ったのはyahooメールです。

2019-07-03 22:51:56
ぶっく@年中有給 @iedred7584

7pay、パスワードリセット用の漏らしてはいけないリンクの送信先メールアドレスをパスワードリセットリクエスト画面上で指定可能で誕生日とか登録アドレスが合っていれば好きなアドレスで受信できてパスワード変更可能とかそのままサービス終了したほうが良いレベルなのでは

2019-07-03 23:33:59

登録時に生年月日を入力しないと、自動的に2019/01/01になる(iOSのみ?)

Hiromitsu Takagi @HiromitsuTakagi

自宅(テレワークを除く)研究員 blog@takagi-hiromitsu.jp

takagi-hiromitsu.jp

Hiromitsu Takagi @HiromitsuTakagi

7payのアプリ、新規会員登録は、生年月日なしで登録できる。そうしている人も多いだろう。 pic.twitter.com/OYTWVIgi5g

2019-07-04 06:51:40
拡大
拡大
拡大
拡大
Hiromitsu Takagi @HiromitsuTakagi

この「未選択」の場合、「生年月日2019/01/01…と設定されています。」だという。まさか……ね……。 pic.twitter.com/EBI5bCexg5

2019-07-04 06:54:02
拡大
拡大
拡大
拡大
J416@C99A-31日東ニ28a @j416dy

@HiromitsuTakagi 現時点で都道府県、生年月日、性別 Android版は必須 iOS版は任意ですね pic.twitter.com/SKCY5WHS6M

2019-07-04 07:08:36
拡大

生年月日を登録しないとパスワードリセットできないはずなのにできてしまう

48時間 @48h_fight

@HiromitsuTakagi 生年月日登録してない人はパスワード再発行できないはずなのに出来ちゃうんですね😢 20190101 is magic number✨ pic.twitter.com/27vUfBrXue

2019-07-04 07:03:05
拡大

誕生日未登録の人は自動的に2019/01/01になるので、その人のログインIDのメールアドレスさえわかれば、任意のメールアドレスにパスワードリセットメールを送ることができる

暇な女子高専生@駆け出しエンジニア @miettal

7pay ・パスワードリセットの送り先URLに任意のメールアドレスが使用可能なため、ID(メールアドレス)と誕生日が分かれば第三者がログインできてしまう ・誕生日を登録していないとシステム上2019年1月1日生まれとして処理され、IDが分かれば第三者がログインできてしまう

2019-07-04 08:37:50
ぬるてふ@EFFYサイクルジャージ計画 @Nullpo_default

7Payの不正利用で、情報を漁るとこんな感じになる。 7Pay不正利用は何が原因だろうか? ↓ アプリログインがSMS認証等の多要素認証なし ↓ パスワード使い回し等で流失データか? ↓ Omni7パスワードリセットの仕組みがかなりアレということが分かる。

2019-07-04 01:19:35